<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<!--
Generated from $Fink: sec-policy.pt.xml,v 1.2 2009/07/26 11:13:27 monipol Exp $
-->
<title>Fink Documentation - Política geral de segurança do Fink para pacotes aceitos</title></head><body>
<table width="100%" cellspacing="0">
<tr valign="bottom">
<td align="center">
Available Languages:  | 
<a href="sec-policy.en.html">English</a> | 
<a href="sec-policy.fr.html">Fran&ccedil;ais</a> | 
<a href="sec-policy.ja.html">&#26085;&#26412;&#35486; (Nihongo)</a> | 
Portugu&ecirc;s | 
<a href="sec-policy.zh.html">&#20013;&#25991; (&#31616;) (Simplified Chinese)</a> | 
</td>
</tr>
</table>
<h1 style="text-align: center;">Política geral de segurança do Fink para pacotes aceitos</h1>
    <p>Este documento explica como o Fink lida com os incidentes de segurança
    referentes a pacotes que foram aceitos pelo Fink. ainda que a
    responsabilidade principal seja do mantenedor do pacote, o Fink reconhece a
    necessidade de oferecer uma política uniforme de como reagir a incidentes
    de segurança encontrados em softwares que são oferecidos como pacotes do
    Fink. Cada mantenedor de pacote é obrigado a cumprir essa política.</p>
  <h2>Contents</h2><ul><li><a href="#respo"><b>1 Responsabilidade</b></a><ul><li><a href="#respo.who">1.1 Quem é responsável?</a></li><li><a href="#respo.contact">1.2 Quem devo contactar?</a></li><li><a href="#respo.prenotifications">1.3 Pré-Notificações</a></li><li><a href="#respo.response">1.4 Resposta</a></li></ul></li><li><a href="#severity"><b>2 Tempos de resposta e ações imediatas</b></a><ul><li><a href="#severity.resptimes">2.1 Tempos de resposta</a></li><li><a href="#severity.forced">2.2 Atualizações forçadas</a></li></ul></li><li><a href="#sources"><b>3 Fontes de incidentes</b></a><ul><li><a href="#sources.sources">3.1 Fontes de incidentes aceitas</a></li></ul></li><li><a href="#updating"><b>4 Política de atualização de segurança</b></a><ul><li><a href="#updating.procedure">4.1 Adicionando atualizações relacionadas a segurança</a></li><li><a href="#updating.moving">4.2 Movendo de stable para unstable</a></li></ul></li><li><a href="#notification"><b>5 Enviando notificações</b></a><ul><li><a href="#notification.who">5.1 Quem pode enviá-las?</a></li><li><a href="#notification.how">5.2 Como submeter</a></li></ul></li></ul><h2><a name="respo">1 Responsabilidade</a></h2>
    
    

    <h3><a name="respo.who">1.1 Quem é responsável?</a></h3>
      

      <p>Todo pacote do Fink possui um mantenedor. O mantenedor de um pacote
      específico pode ser determinado pelo comando <tt style="white-space: nowrap;">fink info
      nomedopacote</tt> executado na linha de comando. Ele irá retornar uma
      listagem com um campo similar a este: Maintainer: Fink Core Group
      &lt;fink-core@lists.sourceforge.net&gt;. O mantenedor é
      integralmente responsável por seu(s) pacote(s).</p>
    

    <h3><a name="respo.contact">1.2 Quem devo contactar?</a></h3>
      

      <p>Caso haja incidentes de segurança em uma determinada parte de um
      software empacotado, você deve notificar o mantenedor do pacote bem como
      o <b>Grupo Central do Fink</b>. O email do mantenedor pode ser
      encontrado pelo comando da seção anterior e o email do <b>Grupo Central
      do Fink</b> é fink-core@lists.sourceforge.net</p>
    

    <h3><a name="respo.prenotifications">1.3 Pré-Notificações</a></h3>
      

      <p>Incidentes sérios de segurança em software empacotado pelo Fink pode
      requerer que você pré-notifique o mantenedor daquele pacote. Como é
      possível que o mantenedor não possa ser encontrado em tempo hábil,
      pré-notificações devem ser sempre enviadas ao <b>Time de Segurança do
      Fink</b>. O email de cada membro do time está listado individualmente
      mais ao fim deste documento. Por favor, observe que, como o histórico da
      lista fink-core@lists.sourceforge.net está disponível publicamente,
      pré-notificações privadas <b>nunca</b> devem ser enviadas àquela
      lista.</p>
    

    <h3><a name="respo.response">1.4 Resposta</a></h3>
      

      <p>Relatórios sobre um incidente de segurança que tenham sido submetidos
      serão respondidos pelo <b>Grupo Central do Fink</b>. O Fink obriga cada
      mantenedor a confirmar individualmente o problema relatado. No caso
      improvável de o mantenedor não estar disponível e não confirmar o
      relatório dentro de 24 horas, uma observação deve ser enviada ao <b>Grupo
      Central do Fink</b> informando o time de que o mantenedor pode não estar
      respondendo.</p>

      <p>Caso você haja tentado notificar o mantenedor do pacote em questão mas
      o sistema de email retornou um erro de entrega para aquele email, você
      deve notificar o <b>Grupo Central do Fink</b> imediatamente para
      informar-lhes que o mantenedor não pode ser contactado e que o pacote
      pode ser atualizado independentemente do mantenedor.</p>
    
  <h2><a name="severity">2 Tempos de resposta e ações imediatas</a></h2>
    
    

    
      <p>Tempos de resposta e ações tomadas dependem muito da severidade da
      perda introduzida por uma falha em particular no software que foi
      empacotado pelo Fink. De qualquer forma, o <b>Grupo Central do Fink</b>
      tomará ação imediata sempre que houver a percepção de que é necessário
      proteger a comunidade de usuários do Fink.</p>
    

    <h3><a name="severity.resptimes">2.1 Tempos de resposta</a></h3>
      

      <p>Cada pacote deve primar por respeitar os tempos de resposta seguintes.
      Para alguns tipos de vulnerabilidades, o <b>Grupo Central do Fink</b>
      pode escolher agir imediatamente. Se este for o caso, um dos membros do
      Grupo Central notificará o mantenedor do pacote em questão. Além disso,
      lembre-se de que, ainda que tentemos respeitar estes tempos de resposta,
      o Fink é um esforço de voluntários, e por conseguinte não podemos
      garanti-los.</p>

      <table border="0" cellpadding="0" cellspacing="10"><tr valign="bottom"><th align="left">Vulnerability</th><th align="left">Repsonse time</th></tr><tr valign="top"><td>root exploit remoto</td><td>
            <p>mínimo: <b>imediato</b>; máximo: <b>12</b> horas.</p>
          </td></tr><tr valign="top"><td>root exploit local</td><td>
            <p>mínimo: <b>12</b> horas; máximo: <b>36</b> horas.</p>
          </td></tr><tr valign="top"><td>DOS remoto</td><td>
            <p>mínimo: <b>6</b> horas; máximo: <b>12</b> horas.</p>
          </td></tr><tr valign="top"><td>DOS local</td><td>
            <p>mínimo: <b>24</b> horas; máximo: <b>72</b> horas.</p>
          </td></tr><tr valign="top"><td>corrupção de dados remotos</td><td>
            <p>mínimo: <b>12</b> horas; máximo: <b>24</b> horas.</p>
          </td></tr><tr valign="top"><td>corrupção de dados locais</td><td>
            <p>mínimo: <b>24</b> horas; máximo: <b>72</b> horas.</p>
          </td></tr></table>
    

    <h3><a name="severity.forced">2.2 Atualizações forçadas</a></h3>
      

      <p>Um membro do <b>Grupo Central do Fink</b> pode optar por atualizar um
      pacote sem esperar que o mantenedor aja primeiro. Isto é chamado de
      atualização forçada. Caso o tempo de resposta máximo
      exigido por uma vulnerabilidade específica em um pacote do Fink não seja
      respeitado, isto também resulta em uma atualização
      forçada daquele pacote.</p>
    
  <h2><a name="sources">3 Fontes de incidentes</a></h2>
    
    

    <h3><a name="sources.sources">3.1 Fontes de incidentes aceitas</a></h3>
      

      <p>Como relator de um incidente segurança em um software empacotado pelo
      Fink, você deve garantir que a vulnerabilidade do software também existe
      no Mac OS X. É responsabilidade da parte notificadora garantir que uma
      das seguintes fontes reforce o problema relatado para o software em
      questão.</p>

      <ol>
        <li><b>AIXAPAR</b>: AIX APAR (Authorised Problem Analysis Report)</li>
        <li><b>APPLE</b>: Apple Security Update</li>
        <li><b>ATSTAKE</b>: @stake security advisory</li>
        <li><b>AUSCERT</b>: AUSCERT advisory</li>
        <li><b>BID</b>: Security Focus Bugtraq ID database entry</li>
        <li><b>BINDVIEW</b>: BindView security advisory</li>
        <li><b>BUGTRAQ</b>: Posting to Bugtraq mailing list</li>
        <li><b>CALDERA</b>: Caldera security advisory</li>
        <li><b>CERT</b>: CERT/CC Advisories</li>
        <li><b>CERT-VN</b>: CERT/CC vulnerability note</li>
        <li><b>CIAC</b>: DOE CIAC (Computer Incident Advisory Center) bulletins</li>
        <li><b>CONECTIVA</b>: Conectiva Linux advisory</li>
        <li><b>CONFIRM:</b> URL do local onde o fornecedor confirma que o problema existe</li>
        <li><b>DEBIAN</b>: Debian Linux Security Information</li>
        <li><b>EEYE</b>: eEye security advisory</li>
        <li><b>EL8</b>: EL8 advisory</li>
        <li><b>ENGARDE</b>: En Garde Linux advisory</li>
        <li><b>FEDORA</b>: Fedora Project security advisory</li>
        <li><b>FULLDISC</b>: Full-Disclosure mailing list</li>
        <li><b>FreeBSD</b>: FreeBSD security advisory</li>
        <li><b>GENTOO</b>: Gentoo Linux security advisory</li>
        <li><b>HERT</b>: HERT security advisory</li>
        <li><b>HP</b>: HP security advisories</li>
        <li><b>IBM</b>: IBM ERS/BRS advisories</li>
        <li><b>IMMUNIX</b>: Immunix Linux advisory</li>
        <li><b>INFOWAR</b>: INFOWAR security advisory</li>
        <li><b>ISS</b>: ISS Security Advisory</li>
        <li><b>KSRT</b>: KSR[T] Security Advisory</li>
        <li><b>L0PHT</b>: L0pht Security Advisory</li>
        <li><b>MANDRAKE</b>: Linux-Mandrake advisory</li>
        <li><b>MISC</b>: referência a uma URL genérica</li>
        <li><b>MLIST</b>: referência genérica a listas de discussão</li>
        <li><b>NAI</b>: NAI Labs security advisory</li>
        <li><b>NETECT</b>: Netect security advisory</li>
        <li><b>NetBSD</b>: NetBSD Security Advisory</li>
        <li><b>OPENBSD</b>: OpenBSD Security Advisory</li>
        <li><b>REDHAT</b>: Security advisories</li>
        <li><b>RSI</b>: Repent Security, Inc. security advisory</li>
        <li><b>SEKURE</b>: Sekure security advisory</li>
        <li><b>SF-INCIDENTS</b>: mensagem na lista de discussão Security Focus Incidents</li>
        <li><b>SGI</b>: SGI Security Advisory</li>
        <li><b>SLACKWARE</b>: Slackware security advisory</li>
        <li><b>SNI</b>: Secure Networks, Inc. security advisory</li>
        <li><b>SUN</b>: Sun security bulletin</li>
        <li><b>SUNALERT</b>: Sun security alert</li>
        <li><b>SUNBUG</b>: Sun bug ID</li>
        <li><b>SUSE</b>: SuSE Linux: Security Announcements</li>
        <li><b>TRUSTIX</b>: Trustix Security Advisory</li>
        <li><b>TURBO</b>: TurboLinux advisory</li>
        <li><b>VULN-DEV</b>: Posting to VULN-DEV mailing list</li>
        <li><b>VULNWATCH</b>: VulnWatch mailing list</li>
        <li><b>XF</b>: X-Force Vulnerability Database</li>
        <li><b>CVE</b>: CVE Candidates </li>
      </ol>

      <p>As palavras-chaves acima estão de acordo com a <a href="http://www.cve.mitre.org/cve/refs/refkey.html">lista de
      palavras-chaves recomendadas pelo CVE</a>.</p>
    
  <h2><a name="updating">4 Política de atualização de segurança</a></h2>
    
    

    <h3><a name="updating.procedure">4.1 Adicionando atualizações relacionadas a segurança</a></h3>
      

      <p>Atualizações de segurança só podem ser aplicadas uma vez que tenham
      sido verificadas pelo autor original do software que foi empacotado para
      o Fink e no qual foi encontrada uma vulnerabilidade de segurança. Antes
      de uma atualização, uma ou mais das condições a seguir <b>deve</b>
      valer:</p>

      <ul>
        <li>O autor do software foi contactado pelo mantenedor e/ou diretamente
        pelo <b>Grupo Central do Fink</b> fornecendo uma correção da
        vulnerabilidade ou ação alternativa.</li>

        <li>Uma das fontes denotadas por palavra-chave publicou um boletim de
        segurança com fontes atualizados do pacote em questão.</li>

        <li>Uma correção foi publicada em uma das fontes denotadas por
        palavra-chave a seguir: BUGTRAQ, FULLDISC, SF-INCIDENTS, VULN-DEV.</li>

        <li>Um boletim oficial de segurança foi publicado e recebeu status CVE
        Candidate, descrevendo a vulnerabilidade, fornecendo uma ação
        alternativa, correção ou link para fontes atualizados.</li>

        <li>Uma pré-notificação foi diretamente enviada ao mantenedor e/ou
        <b>Grupo Central do Fink</b> fornecendo uma correção da
        vulnerabilidade ou ação alternativa, requerendo que alguma ação seja
        tomada.</li>
      </ul>
    

    <h3><a name="updating.moving">4.2 Movendo de stable para unstable</a></h3>
      

      <p>Atualizações de segurança de um pacote específico serão primeiramente
      aplicadas na árvore unstable. Após um período de espera de pelo menos
      <b>12</b> horas, os arquivos com descrições e ajustes do pacote também
      serão movidos para a árvore stable. O período de retenção deve ser usado
      para observar cuidadosamente se o pacote atualizado funciona e a
      atualização de segurança não introduz novos problemas.</p>
    
  <h2><a name="notification">5 Enviando notificações</a></h2>
    
    

    
      <p>Alguns usuários podem escolher não atualizar seus softwares
      frequentemente. Para garantir que aqueles que instalam seus pacotes a
      partir do código fonte atualizem pacotes com vulnerabilidades o mais cedo
      possível, um mantenedor pode solicitar que uma notificação seja enviada à
      lista de anúncios do Fink.</p>
    

    <h3><a name="notification.who">5.1 Quem pode enviá-las?</a></h3>
      

      <p>Estes anúncios somente podem ser enviados pelo <b>Time de Segurança
      do Fink</b>. A maior parte dos anúncios será enviada por
      dmalloc@users.sourceforge.net, assinados pela chave PGP com a seguinte
      impressão digital:</p>

      <ul>
        <li>FD77 F0B7 5C65 F546 EB08 A4EC 3CCA 1A32 7E24 291E.</li>

        <li>Disponível em
          http://pgp.mit.edu:11371/pks/lookup?op=get&amp;search=0x7E24291E
        </li>
      </ul>

      <p>O endereço acima foi intencionalmente não assinalado como um link.</p>

      <p>Outros membros do time com autorização são:</p>

      <p>peter@pogma.com assinado pela chave PGP com a seguinte impressão
      digital:</p>

      <ul>
        <li>4D67 1997 DD32 AE8E D7ED  9C79 8491 2AB7 DF3B 6004.</li>

        <li>Disponível em
          http://pgp.mit.edu:11371/pks/lookup?op=get&amp;search=0xDF3B6004
        </li>
      </ul>

      <p>ranger@befunk.com assinado pela chave PGP com a seguinte impressão
      digital:</p>

      <ul>
        <li>6401 D02A A35F 55E9 D7DD  71C5 52EF A366 D3F6 65FE.</li>

        <li>Disponível em
          http://pgp.mit.edu:11371/pks/lookup?op=get&amp;search=0xD3F665FE
        </li>
      </ul>
    

    <h3><a name="notification.how">5.2 Como submeter</a></h3>
      

      <p>Para garantir uma apresentação comum para as notificações de
      segurança, todas <b>devem</b> seguir o seguinte modelo padrão.</p>

            <pre> ID: FINK-YYYY-MMDD-NN 
                        Reported: YYYY-MM-DD 
                        Updated:  YYYY-MM-DD 
                        Package:  package-name
                        Affected: &lt;= versionid
                        Maintainer: maintainer-name
                        Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
                        Mac OS X version: 10.3, 10.2 
                        Fix: patch|upstream 
                        Updated by: maintainer|forced update (Email)
                        Description: A short description describing the issue.
                        References: KEYWORD (see above) 
			Ref-URL: URL 
			</pre>
            
      <p>Um relatório de exemplo pode-se parecer com:</p>

            <pre> ID: FINK-2004-06-01 
                        Reported:             2004-06-09 
                        Updated:              2004-06-09 
                        Package:              cvs
                        Affected:             &lt;= 1.11.16, &lt;= 1.12.8
                        Maintainer:           Sylvain Cuaz 
                        Tree(s):    10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable 
                        Mac OS X version: 10.3, 10.2 
                        Fix: upstream
                        Updated by: forced update (dmalloc@users.sourceforge.net)
                        Description: Multiple vulnerabilities in CVS found by Ematters
                        Security. 
			References: BID 
                        Ref-URL:    http://www.securityfocus.com/bid/10499 
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418
                        References: FULLDISCURL 
                        Ref-URL:    http://lists.netsys.com/pipermail/full-disclosure/2004-June/022441.html
                        References: MISC 
                        Ref-URL:    http://security.e-matters.de/advisories/092004.html </pre>

      <p>Por favor, observe que a palavra-chave <b>Affected</b> se refere a
      todas as versões do software vulneráveis e não apenas aquela que tenha
      sido empacotada para o Fink. O relatório de exemplo mostra isto
      claramente.</p>
    
  <hr><h2>Copyright Notice</h2><p>Copyright (c) 2001 Christoph Pfisterer,
Copyright (c) 2001-2011 The Fink Project.
You may distribute this document in print for private purposes,
provided the document and this copyright notice remain complete and
unmodified. Any commercial reproduction and any online publication
requires the explicit consent of the author.</p><hr>
<p>Generated from <i>$Fink: sec-policy.pt.xml,v 1.2 2009/07/26 11:13:27 monipol Exp $</i></p></body></html>
